Объем хакерских атак на бизнес значительно увеличивается в последние годы. Согласно данным MTS RED, за прошлый год было выявлено более 50 000 инцидентов, что на 43% больше, чем в предыдущем году. Это свидетельствует о растущей опасности, с которой сталкиваются компании в области кибербезопасности.
В условиях такого роста угроз становится критически важным для бизнеса осуществлять проверку и предупреждение возможных рисков. Один из самых распространенных и эффективных методов проверки защиты это тестирование на проникновение.
Директор по информационной безопасности и сооснователь Awillix, «Александр Герасимов», рассказывает о том, как провести такое тестирование, которое сможет эффективно повлиять на обеспечение безопасности данных компании.
Процесс тестирования на проникновение включает в себя не только проверку уровня защиты, но и выявление уязвимостей и устранение их до того, как на них наткнутся злоумышленники. Эффективность таких действий заключается в реалистичной имитации действий настоящих хакеров.
Этичные хакеры, нанятые компаниями для проверки безопасности, проходят через те же этапы, что и злоумышленники: начиная с разведки и заканчивая проникновением в систему. Однако, в отличие от киберпреступников, этичные хакеры ищут уязвимости с целью помочь компании в устранении проблем и укреплении защиты.
Проведение тестирования на проникновение, близкого к реальным сценариям атак, позволяет эффективно выявить ошибки и недочеты, повысив тем самым уровень стойкости бизнеса к потенциальным угрозам.
Важно понимать, что имитация атаки имеет смысл только в том случае, если у компании есть представление о типичных методах и тактике злоумышленников. Подрядчики, проводящие тестирование на проникновение, должны быть выбраны не только по цене, но и исходя из их профессионализма, опыта и репутации.
Для успешной защиты от киберугроз необходимо постоянное обновление методов и технологий проверки безопасности, а также регулярное обучение сотрудников компании. Только таким комплексным подходом можно обеспечить эффективную защиту от хакерских атак и минимизировать потенциальные угрозы для бизнеса.
Количество, вооруженность, подготовленность, информированность и методы действий потенциальных нарушителей - важные аспекты, которые необходимо имитировать в рамках проекта, поэтому оценивать их нужно заранее.
Научной классификации хакеров не существует, но можно выделить их по уровню технических знаний и целям. В зависимости от размера и отрасли бизнеса также будет меняться модель поведения атакующих. Например, крупные компании являются целью для опытных хакеров, которые используют сложные таргетированные атаки, в то время как малые и средние предприятия чаще подвергаются менее опытным, но более массовым нападениям.
Бизнес, особенно небольшой, зачастую уверен, что его ничего не стоит взламывать. Хотя его не будут атаковать напрямую, но он может стать объектом случайной атаки.
Например, если на сайте компании встречается популярный плагин для WordPress, злоумышленники могут написать эксплойт для этого плагина, автоматически сканировать ресурсы компании на его наличие и получить доступ к серверу. Последствия такого сценария могут быть разными: нелегальная установка майнеров на сервер, взлом сайта или шифрование базы данных с требованием выкупа. Это реальные угрозы для любого бизнеса.
Злоумышленники просто сканируют сеть на наличие уже известных уязвимостей. Обнаруживая уязвимость, они ее эксплуатируют. Это может сделать любой человек, просто пользуясь доступными инструментами взлома: информацией из форумов или уроками на YouTube. Таких злоумышленников можно назвать «школьниками» или Script kiddie - люди, использующие готовые скрипты и программы для атак на компьютерные системы и сети без понимания их работы.
Развитие киберугроз и кибератак требует более серьезного внимания специалистов по информационной безопасности. На текущем этапе злоумышленники, совершающие кибератаки на малые компании, представляют собой неопытных хакеров, которые не способны самостоятельно разрабатывать сложные эксплойты. Целью их атак являются организации, игнорирующие вопросы информационной безопасности.
Информационная технология малой компании может быть частично или полностью вынесена за пределы внутренней сети и включать в себя стандартные внешние сервисы, такие как электронная почта, системы управления задачами, CRM, FTP и другие. Обслуживанием такой инфраструктуры занимаются системные администраторы с низким уровнем квалификации.
Следующим этапом в развитии хакера является применение более сложных техник взлома. Украинские, индийские или китайские хакеры наиболее часто относятся к данной категории. Они способны обнаруживать уязвимости на веб-сайтах или в приложениях, посылая им различные запросы и анализируя реакцию системы, корректируя тактику атаки в зависимости от ответа. Они используют технические или логические уязвимости для своих целей и значительно автоматизируют эксплуатацию известных уязвимостей любой сложности. Обычно они действуют с целью вымогательства.
Целевая компания, подвергшаяся атаке, может уделять определенное внимание вопросам информационной безопасности, но не настолько, чтобы сделать атаку слишком сложной для данного типа злоумышленников. Часть инфраструктуры целевой компании может быть размещена на собственных серверах и частично на арендованных. Помимо стандартных сервисов на внешнем уровне могут присутствовать и собственные разработки. В штате компании как минимум один или два специалиста по информационной безопасности, ответственных за мониторинг безопасности как внутренних, так и внешних сетевых ресурсов.
Многие компании регулярно проводят анализ своей защищенности, чаще всего не реже одного раза в год. Особенно важно обеспечить безопасность для крупных и успешных организаций, которые могут быть частью цепочек поставок для тысяч других крупных клиентов или представлять собой критические инфраструктуры и системообразующие бизнесы, обслуживающие миллионы физических лиц.
Такие компании становятся желанными мишенями для организованных групп хакеров, имеющих широкий спектр технических возможностей. Иметь собственный департамент информационной безопасности, Центр управления безопасностью (SOC), множество средств защиты и проводить регулярные проверки - все это важные факторы, которые могут отпугнуть хакеров-одиночек.
Однако, при целенаправленных атаках, включая те, которые осуществляются по заказу, на помощь приходят настоящие профессионалы и группы APT (Advanced Persistent Threat, продвинутые целевые атаки). К таким атакам могут быть причастны спецслужбы недружественных стран и связанные с ними группировки. Они применяют сложные методы, такие как внедрение собственного вредоносного программного обеспечения, использование неизвестных уязвимостей (zero-day) и тонкие сценарии социальной инженерии.
Учитывая высокий уровень подготовки и ресурсов таких хакеров, очевидно, что имитация их атак также требует особого подхода, который зависит от того, что именно требуется обеспечить защиту. Выбор пентеста должен быть основан на уровне информационной безопасности бизнеса и его потенциальных рисках.
Для оценки различия в стоимости между пентестом, проводимым школьником в течение пяти дней и начинающим программистом (джуном), и пентестом модели APT-группы, который требует трех месяцев работы команды лучших специалистов для имитации хакеров с высокими ресурсами, нужно рассмотреть портреты хакеров и особенности проведения тестирования.
В случае с пентестом, где исполнителями являются два средних специалиста (мидла) и руководитель Senior с профильными сертификатами в области ИБ, такими как OSCP, OSCE, eWPTX и опытом более трех лет, стоимость будет значительно ниже по сравнению с пентестом команды senior-специалистов с опытом более пяти лет и сертификатами международного уровня, такими как OSEP, OSWE, eWPTX, имеющей победы в CTF, участвующих в программах Bug Bounty и находящих уязвимости zero-day в крупнейших IT-компаниях.
Стоимость пентеста напрямую зависит от уровня квалификации специалистов, их опыта и сертификаций, а также сложности задачи. Низкая стоимость пентеста с участием джуна обусловлена их относительно низкой заработной платой по сравнению с middle и senior специалистами, которые имеют более высокие требования и компетенции. При этом топовые специалисты, находящиеся в залах славы крупнейших IT-компаний, имеют самую высокую стоимость из-за своего уникального опыта и умений.
При принятии решения о проведении пентеста стоит учитывать как минимум несколько факторов: цели тестирования, количество объектов, требуемый уровень сертификации и опыта, портрет хакеров для имитации атаки, а также доступный бюджет. Дешевле не всегда означает лучше, особенно если речь идет о безопасности информации и защите от киберугроз. Определение цены на пентест с учетом всех вышеперечисленных факторов поможет выбрать оптимальный вариант для конкретной ситуации.
Для бизнеса важно понимать, что необходимо учитывать разные подходы к тестированию на проникновение в зависимости от стадии развития процессов информационной безопасности. Если компания только начинает строить свои процессы защиты, нет необходимости сразу же инвестировать в сложное и дорогостоящее тестирование на проникновение. Вместо этого стоит начать с нескольких простых аудитов, чтобы убедиться, что все основные уязвимости в IT-инфраструктуре покрыты проверками и защищены. Проведение регулярных аудитов на начальном этапе поможет выявить основные проблемы и улучшить уровень безопасности компании.
Напротив, для более зрелых компаний, у которых уже отлажены механизмы защиты и процессы информационной безопасности более взрослые, важно проводить более сложные и продвинутые проверки. Такие компании могут столкнуться с целевыми атаками, которые требуют комплексного тестирования. Однако, независимо от стадии развития компании, актуальной рекомендацией является проведение ротации исполнителей тестирования на проникновение. Это позволяет получить новый взгляд на инфраструктуру компании и обнаружить новые уязвимости, которые могли быть незамеченными ранее.
Чтобы выбрать оптимальное решение и избежать излишних расходов, важно понимать два ключевых момента: уровень угроз от потенциального злоумышленника для бизнеса и степень развития процессов информационной безопасности в компании. Только с учетом этих факторов можно эффективно спланировать стратегию тестирования на проникновение, которая поможет обеспечить надежную защиту данных и информации компании.